现在时间是:

计算机取证技术之基于主机的寻找证据手段

时间:2020-07-06 来源:原创 作者:admin 点击:加载中..
  

  计算机取证技术研究如何科学有效且合法地从计算机及其相关设备中发现并提取出真实有效并符合法律规定的电子数据。我们知道取证意为取和证,取之有道,证之有效,才是把一个任务完成了。

  浏览器为了加速,都会使用保存的方法。IE浏览器一般保存于Index.dat中,用户访问时 IE会首先查找这个索引文件。可以使用如Index.dat Suite等软件进行提取。

  比如Cookie记录、缓存记录、历史记录等都有其索引文件。这个文件多么重要呢,即使该文件被删除,仍可以根据其特点进行数据恢复。其包括url、redr和leak三种条目。条目的大小以128Byte即块为单位,结合Windows文件空间以簇即512Byte为单位,则从磁盘逻辑分区第一个扇区开始查找,128byte为一步,只要发现前3个byte是这三个条目,即为查询成功。

  360浏览器、搜狗、猎豹等都是将历史访问记录和Cookie记录保存在SQLite数据库里,这是一个轻量级数据库,可用SQLite Database Browser等工具进行查看。

  查看360浏览器的历史记录:

  

  查看Cookie:

  

  用户对主机操作后会保存在Register中,它是Windiws系统中庞大复杂的数据库。注册表由根键、子键和数据组成。键对应文件夹,子键对应子文件夹,值是由名称、数据类型和其值组成。注册表的监测工具RegSnap在安装新软件前后各建立一次快照,一解析就可以知道何处被修改。因此 我们可以关注以下:

  开机自动运行软件记录:

  

  开始菜单最近打开的项目:

  

  "开始"菜单运行历史记录:

  

(责任编辑:admin)

------分隔线----------------------------
最新评论 查看所有评论
加载中......
发表评论 查看所有评论